Hvordan stoppe «Posten»-viruset

De siste dagene har det igjen vært en økning av «Posten-virus», altså eposter tilsynelatende sendt med Posten som avsender.
VG har skrevet en sak om dette her.

Eposten tar deg videre til en ekstern side og ber deg laste ned hentelapp, noe som resulterer i en komprimert fil (.zip) som inneholder en JavaScript-fil. (.js).
Åpner du og kjører JavaScriptet, vil dette da kryptere dataene på din maskin, og for en stor bunke penger vil du kanskje få igjen filene dine.

Dersom du er så uheldig å ha blitt rammet av viruset, er denne guiden dessverre ikke noe som nå vil hjelpe deg. Gå heller til Kasperskys «No Ransom»-side med ransomware-dekrypteringsverktøy.

I tillegg til å ha antivirus, en sunn dose paranoia og de siste oppdateringene til ditt operativsystem installert er det et par veier å få bukt med nettopp denne type malware.

Denne løsningen vil kjøre at .js-filer ikke lenger vil kjøres automatisk på din datamaskin, og så lenge de kun åpnes i Notisblokk vil de ikke kunne gjøre skade.

For privatbrukere med Windows:

Merk: Skjermbildene er fra Windows 10, men fremgangsmåten er relativt lik på Windows 7.

  1. Åpne Notisblokk/Notepad.
  2. Velg lagre som, og lagre den på skrivebordet som Test.js.
  3. Gå til skrivebordet, høyreklikk på «Test.js» og velg «Åpne i» og «Velg en annen app».
  4. Velg «Notisblokk», og huk av for «Bruk alltid denne appen for å åpne .js-filer».

Til systemadministratorer med Windows-systemer:

  1. Aktiver SPF på ditt domene, og kjør hard blokkering av innkommende epost som feiler SPF-sjekk. Dette vil også hjelpe deg mot CEO-svindel.Postnorge.no, ett av domenene benyttet i siste utsending, hadde da epostene gikk ut, ikke SPF-liste for dette domenet, men dette er heldigvis nå aktivert.
  2. Opprett en group policy for samtlige brukere som setter Notepad.exe som standardapplikasjon for .js-filer.Denne policyen ligger under «User Configuration – Preferences – Control Panel Settings – Folder Options».
  • Action: Update
  • Name: js
  • Associated Program: %WindowsDir%\System32\notepad.exe
The following two tabs change content below.

Arve

Norway
Sysadmin. Firewalls, networking, AD, oh my!

Skrevet av

Arve

Sysadmin. Firewalls, networking, AD, oh my!

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.